هشدار CISA: آسیب‌پذیری‌های روز صفر ویندوز به فهرست KEV اضافه شدند

آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) فهرست آسیب‌پذیری‌های روز صفر ویندوز اکسپلویت شده (KEV) خود را به‌روزرسانی کرد و پنج آسیب‌پذیری روز صفر جدید در سیستم‌عامل ویندوز را به آن افزود. این نقص‌ها که هم‌اکنون در حملات واقعی مورد سوءاستفاده قرار می‌گیرند، تهدیدی جدی برای سازمان‌های فعال در اکوسیستم مایکروسافت به‌شمار می‌روند.

جزئیات آسیب‌پذیری‌های روز صفر ویندوز

سه مورد از این آسیب‌پذیری‌ها از نوع use-after-free هستند که به دلیل خطا در مدیریت حافظه رخ می‌دهند، زمانی که برنامه پس از آزادسازی حافظه همچنان به آن دسترسی دارد. این نقص‌ها به مهاجم امکان افزایش سطح دسترسی و کسب کنترل کامل با امتیازات مدیریتی را می‌دهند. در ادامه بیشتر با این سه آسیب‌پذیری آشنا می‌شوید.

نخستین نقص با شناسه CVE-2025-30400 ردیابی می شود که کتابخانه DWM Core، مؤلفه‌ای کلیدی در رابط گرافیکی ویندوز، را تحت تأثیر قرار می‌دهد. سوءاستفاده از این آسیب‌پذیری با دسترسی محلی امکان‌پذیر است و می‌تواند برای دور زدن کنترل‌های دسترسی و ارتقای سطح دسترسی استفاده شود.

دو نقص دیگر، CVE-2025-32701 و CVE-2025-32709، به‌ترتیب درایورهای Common Log File System (CLFS) و Ancillary Function برای WinSock را هدف قرار می‌دهند. سوءاستفاده موفق از این نقص‌ها به مهاجم اجازه می‌دهد به سطح مدیریتی دست یابد، کد مخرب اجرا کند و حتی سیستم را کاملا تحت کنترل درآورد.

هرچند شواهدی از استفاده این آسیب‌پذیری‌ها در حملات باج‌افزاری گزارش نشده، اما اکسپلویت فعال آن‌ها در محیط واقعی نشان‌دهنده تهدیدی فوری است که نیازمند اقدام سریع است.

نقص CVE-2025-30397، یک آسیب‌پذیری از نوع Type Confusion( اختلال در نوع داده‌ها) در Windows Scripting Engine، به‌ویژه نگران‌کننده است. این نقص به مهاجم اجازه می‌دهد با کلیک قربانی روی لینک مخرب، کد از راه دور (RCE) اجرا کند. این آسیب‌پذیری برای کمپین‌های فیشینگ یا وب‌سایت‌های مخرب خطرناک است؛ زیرا نیازی به دسترسی بالا یا تعامل پیچیده ندارد و سازمان‌های وابسته به مرورگرها و فناوری‌های اسکریپت‌نویسی را تهدید می‌کند.

آخرین نقص، CVE-2025-32706، یک آسیب‌پذیری از نوع سرریز بافر در درایور CLFS است که به مهاجم امکان تزریق کد مخرب به حافظه، ارتقای سطح دسترسی و دور زدن مکانیزم‌های امنیتی را می‌دهد. با توجه به نقش CLFS در ثبت رخدادهای سیستمی، سوءاستفاده از این نقص می‌تواند فرآیندهای حیاتی را مختل کرده و تحلیل فارنزیک پس از حادثه را دشوار سازد.

توصیه امنیتی

CISA از سازمان‌ها خواسته است فورا اقدامات زیر را اجرا کنند:

• نصب پچ‌های امنیتی مایکروسافت.
• رعایت دستورالعمل BOD 22-01 برای سیستم‌های ابری و سازمانی.
• در صورت نبود پچ، غیرفعال‌سازی یا ایزوله‌سازی موقت مؤلفه‌های آسیب‌پذیر.

منابع: